Riesige Cyber-Attacke Wie Netzspione ihre Opfer austricksen

Spitzenbeamte, Ministerien, ganze Staatenbündnisse: Jahrelang sollen Hacker mittels Schnüffelprogrammen interne Dokumente von Regierungen und Firmen gestohlen haben. Sicherheitsdienste verdächtigen China - doch die Machthaber in Peking sehen sich selbst als Opfer.

Kontrollzentrum gegen Cyber-Angriffe (beim US-Konzern Lockheed Martin): Verdacht fällt auf China
Reuters

Kontrollzentrum gegen Cyber-Angriffe (beim US-Konzern Lockheed Martin): Verdacht fällt auf China


Einer der bislang größten bekannt gewordenen Spähangriffe soll es sein, urteilen Sicherheitsforscher des US-Unternehmens McAfee: Unbekannte sollen von Regierungs- und Firmenrechnern in riesigem Ausmaß Daten gesaugt haben. Das Vorgehen der Angreifer war allerdings nicht besonders ausgefallen. Von "Standard-Angriffen" schreibt McAfee-Analyst Dmitri Alperovitch, die Unbekannten hätten die Spear-Phishing-Methode gewählt - perfekt auf eine Person zugeschnittene E-Mails, die die Zielperson dazu bringen sollen, einen Anhang oder eine Website zu öffnen, über die dann Schad-Software in das Rechnernetz eindringt.

Diese Art der Angriffe und die gewählten Ziele können Hinweise geben, welche Interessen hinter der Spähkampagne stecken.

Bekannt ist, dass westliche Regierungsstellen seit 2006 immer wieder das Ziel koordinierter Spear-Phishing-Attacken sind. Ende 2010 berichtete zum Beispiel das deutsche Innenministerium, man habe zwischen Januar und September 2010 rund 1600 "elektronische Angriffe mit nachrichtendienstlichem Hintergrund" auf deutsche Bundesbehörden beobachtet. Nach Erkenntnissen des Bundesamts für Verfassungsschutz seien "deutlich über die Hälfte der identifizierungsfähigen elektronischen Angriffe mit unterschiedlicher Nachweisintensität auf staatliche Stellen in der Volksrepublik China zurückzuführen".

China: "unverantwortliche Kommentare bestimmter Personen"

Ein Sprecher des chinesischen Außenministeriums reagierte Anfang Juli bei einer Pressekonferenz auf diese Vorwürfe. Die Justiz in China verfolge Hacker, chinesische Gesetze würden Internetnutzern jede Aktivität verbieten, die die Cyber-Sicherheit gefährden könne. Man wolle bei diesem Problem auf internationaler Ebene handeln: "Wir sind unzufrieden über die unverantwortlichen Kommentare bestimmter Personen, die Hackerangriffe mit der chinesischen Regierung in Verbindung bringen."

Die Masche, mit der deutsche Behördenrechner damals infiziert werden sollten, ähnelt dem Vorgehen, das die McAfee-Forscher nun beschreiben - auch wenn diesmal keine deutschen Regierungsstellen betroffen sind. Eine der an deutsche Beamte adressierten Schnüffelnachrichten landete zum Beispiel mit dem Betreff "Expo Shanghai 2010" in ausgewählten Postfächern bei Bundesbehörden. Die angehängten Dokumente enthielten Späh-Software, saugten interne Daten ab und übertrugen sie mehrmals nach Fernost, berichtete der SPIEGEL damals.

In SPIEGEL ONLINE vorliegenden US-Botschaftsdepeschen beschreiben Mitarbeiter der "Cyber Threat Analysis Division" vergleichbare Angriffe aus dem Jahr 2009 auf Mitarbeiter des US-Außenministeriums. Die Betroffenen erhielten E-Mails mit Betreffzeilen wie "China and Climate Change" ("China und der Klimawandel"). Der Absender der Nachricht war gefälscht - auf den ersten Blick kam sie von einem bekannten Wirtschaftskolumnisten des US-Magazins "National Journal". Jeder der Staatsbediensteten erhielt eine eigene, auf seine Funktion zugeschnittene Nachricht. Alle E-Mails empfahlen ein angehängtes PDF-Dokument zur Lektüre, es sollte Hintergründe zum Klimagipfel enthalten.

"Regierungsvertreter im Visier chinesischer Akteure"

Tatsächlich transportierte das Dokument aber einen Schnüffel-Code - über eine Sicherheitslücke hätten Angreifer beliebige Codes auf den infizierten Rechnern nachladen können. Der Angriff im Sommer 2009 schlug nur deshalb fehl, weil das US-Außenministerium diese eine Sicherheitslücke bereits auf allen Rechnern gestopft hatte.

Mehrere Staaten schreiben diese Art von Angriffen chinesischen Akteuren zu. Eine dem SPIEGEL vorliegende US-Botschaftsdepesche vom November 2008 berichtet von einer Sicherheitskonferenz auf dem US-Stützpunkt Ramstein, an der Vertreter deutscher, französischer, kanadischer, britischer, niederländischer und amerikanischer Sicherheitsbehörden teilnahmen. Fazit: "Alle beteiligten Staaten sehen Regierungsvertreter im Visier chinesischer Akteure." Auch Vertreter des Bundesamts für Verfassungsschutz haben bei den Gesprächen in Ramstein laut US-Botschaftsdepeschen von Spear-Fishing-Angriffen berichtet, die denen auf US-Vertreter sehr ähneln. Zwischen Oktober 2006 und Oktober 2007 habe man mehr als 500 unterschiedliche Spähangriffe mit Spear-Phishing-Mails beobachtet.

Datensauger zapfen das Asean-Generalsekretariat an

Die McAfee-Forscher schreiben, dass die Log-Daten der von ihnen ausgewerteten Spähoperation bis ins Jahr 2006 zurückreichen. Unter den ersten durch das Netzwerk ausgespähten Stellen war laut McAfee das Generalsekretariat des Verbandes südostasiatischer Nationen (Asean). Die Datensaugerei bei der Asean soll einen Monat vor dem Gipfeltreffen der Organisation in Shanghai begonnen haben.

Daraus lässt sich nicht schließen, wer der Auftraggeber der Angriffe war. Aber das Ziel der Operation schränkt zumindest den Kreis potentieller Interessenten ein: Asean-Interna sind für gewöhnliche Cyber-Kriminelle nicht weiter von Interesse - mit diesen Details kann man nicht so einfach Geld verdienen wie mit entwendeten Kreditkartendaten. Sollten Kriminelle hinter dem Asean-Hack stecken, wären sie wohl nur aktiv geworden, wenn es einen zahlenden Abnehmer für die Informationen gab - und wer soll das sein, wenn nicht staatliche Akteure mit politischen Interessen in der Region? Die chinesische Botschaft hat eine Anfrage zu dem McAfee-Bericht bis zur Veröffentlichung dieses Artikels nicht beantwortet.

In den vergangenen Jahren sind einige andere, ähnlich organisierte Spähangriffe mit vermutlich politischem Hintergrund bekannt geworden:

  • Im Juni berichtete die "New York Times", Hacker hätten ein Rechnernetz des Internationalen Währungsfonds IWF attackiert, in dem hochvertrauliche Daten über die Finanzsituation verschiedener Länder gespeichert waren. Laut einem Bericht von "Bloomberg News" handelten die Hacker im Auftrag einer bestimmten Regierung. Ein Sprecher des chinesischen Außenministeriums kommentierte den Fall: "Es ist haltlos und durch Hintergedanken motiviert, China oder gar die chinesische Regierung mit solchen gewöhnlichen Fällen in Verbindung zu bringen."
  • Im März bestätigte das französische Finanzministerium Spähangriffe auf 150 Regierungsrechner. Das Schnüffelprogramm habe erfolgreich Dokumente abgegriffen, Ziel des Angriffs seien Rechner mit Informationen zum französischen G-20-Vorsitz gewesen, erklärte ein Informant der Nachrichtenagentur Reuters. Frankreich hatte im November 2010 den Vorsitz der 20 führenden Industrie- und Schwellenländer übernommen (G20).
  • Im März berichtete der australische " Daily Telegpraph", dass mehrere Rechner von Regierungsmitgliedern (darunter der Außenminister) im Netzwerk des Parlaments von Späh-Software befallen waren. Mehrere Regierungsquellen bestätigten dem "Telegraph", dass Ermittler neben freiberuflich arbeitenden Hackern auch chinesische Nachrichtendienste als Urheber der Angriffe verdächtigten.
  • Im Januar entdeckte das kanadische Finanzministerium Spähprogramme auf Behördenrechnern von Spitzenbeamten. Die Schad-Software war über Spear-Phishing-E-Mails in das System gekommen, die Angriffe wurden laut Informationen des kanadischen Rundfunks CBC zu Servern in China zurückverfolgt. Ein Sprecher des chinesischen Außenministeriums wies im Februar Vorwürfe zurück, sein Land sei bei den Spähangriffen in Kanada involviert: "Die Anschuldigungen, dass China Hacker unterstürzt, sind reine Lügenmärchen, die mit Hintergedanken gestreut werden." China selbst sei ein Opfer von Hackerangriffen und verfolge solche Taten.

Konkrete Angriffe auf chinesische Organisationen und Regierungsstellen benannte der Regierungssprecher aber nicht. Von den von McAfee genannten Zielen des Spähnetzwerks ist keines in China ansässig.

Mehr zum Thema


insgesamt 9 Beiträge
Alle Kommentare öffnen
Seite 1
Magnolie5 03.08.2011
1. Riesige Cyberattacke
Die Chinesische Regierung sieht sich selbst als Opfer - China verkommt zum Polizeistaat, weiss die Regierung/Partei nicht was die boesen Geister, die sie gerufen hat, auf dieser Welt treiben? Zeit, mal aufzuraeumen, liebe Genossen oder weiter das Unschuldslamm spielen!
HeCaRe 03.08.2011
2. McAfee
ist doch bekannt für seine Panikmache um seine Anti-Virensoftware an den Mann zu bringen. Es vergeht doch keine Woche wo nicht in den einschlägigen Foren eine Panikmeldung von McAfee & Co. auftaucht. Ein Mordsgeschäft für diese Leute.
DerNerd 03.08.2011
3. .
Zitat von Magnolie5Die Chinesische Regierung sieht sich selbst als Opfer - China verkommt zum Polizeistaat, weiss die Regierung/Partei nicht was die boesen Geister, die sie gerufen hat, auf dieser Welt treiben? Zeit, mal aufzuraeumen, liebe Genossen oder weiter das Unschuldslamm spielen!
China als Opfer. Jaja. Klar doch. Könnt ich jetzt drüber lachen wenns andererseits nicht so traurig wär. Chinesische Hacker? jawohl. Böse chinesische Hacker. Also da wär mal ein rigeroses Staatssystem und harte Strafen. Aber massenhaft illegal agierende Hacker. Das passt nicht zusammen, es sei denn, der Staat duldet diverses Treiben und bezahlt es - natürlich nicht offiziell - daher verstehe ich das rigerose Schuld von sich weisen. Allerdings sollte man bei Staaten wie China nicht immer besserwisserisch und mahnend den Finger erheben sondern gleichzeitig vor der eigenen Haustür kehren. In manchen Dingen ist Deutschland gar nicht so weit weg von China - China tuts öffentlich und in Deutschland passierts eben mehr oder weniger heimlich - das kontrollieren und ausspionieren der Bürger mein ich.
alfredoneuman 03.08.2011
4. --
Zitat von HeCaReist doch bekannt für seine Panikmache um seine Anti-Virensoftware an den Mann zu bringen. Es vergeht doch keine Woche wo nicht in den einschlägigen Foren eine Panikmeldung von McAfee & Co. auftaucht. Ein Mordsgeschäft für diese Leute.
Der Verfassungsschutz sagt das Gleiche - was wollen die uns verkaufen? Die wollen bestimmt vom Bundestrojaner ablenken - stimmts?
Methados 03.08.2011
5. .
jeder spinioert gegen jeden. das ist halt so. warum wird denn sonst nie sowas laut und deutschlich von den regierungen aufgezeigt ? genau, weil sie selber schuld haben. wenn alle was sagen würden, dann würden bald alle mit erhobenen zeigefinger sich anstarren und alle wären zerstrittener denn je. nochn beispiel: wieso lässt unser staat nun extra für bestimmte systeme eigene router hardware bauen ? weil auf chinesischen und amerikanischen immer geheime backdoors drin sind die es dem jeweiligen staat ermöglichen, abseits der gängigen sicherheitslücken zu sniffen. auf ihr windows/linux/max kann die USA ja auch zugreifen, dafür braucht man auch keinen bundestrojaner lol.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.